Bonjour, [attention question de débutant]
J'ai chez moi 4 ordinateurs formant un LAN connecté à un routeur,
lui même connecté à une freebox (non dégroupé).
Le routeur en question est : Nexland ISB2LAN S4 et possède une fonction
firewall.
La question que je me pose est simple :
Est-ce que le firewall d'un tel routeur est réellement moins fiable (au sens
de la sécurité) qu'un firewall constituée par une passerelle sous linux ?
(par exemple Ipcop ou SME ...).
Il est clair que les distributions de passerelle sous linux ont l'avantage d'être beaucoup plus
configurable que mon routeur, mais pour une utilisation très élémentaire
(je n'utilise aucun serveur mis à part le serveur DHCP du routeur), est-ce utile si on a
déjà un routeur/firewall ?
Pour indication, j'ai testé à partir de l'exterieur du LAN, le firewall du routeur,
à l'aide de nmap. (nmap -A -T4 -P0 x.x.x.x)
Résultat : nmap n' a détecté aucun port ouvert ou fermé. Ce qui est semble t-il plutot positif, non?
A moins que ceci ne soit absolument pas un gage de sécurité ?
Merci de m'éclairer
Routeur/Firewall Versus Passerelle Linux
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
Routeur/Firewall Versus Passerelle Linux
par Neumann-BG » 01 Août 2004 03:48
- Neumann-BG
- Matelot
- Messages: 9
- Inscrit le: 11 Juil 2004 14:02
par pulsergene » 01 Août 2004 08:36
Bonjour
Ils doivent etre a peu pres au meme niveau, enfin c'est le but de ces distributions comme IPCop ou freesco.
mais sous les passerelles, il y a des ptits plus comme l'IDS (detection d'intrusion)
franchement j ai fait des tests de scan de ports sur mon IPCop c'est aussi propre que du matériel.
Ca depend de tes attentes, de ce que tu veux implémenter sur ton LAN, serveur Web ou non , etc....
Essaies des sites de scan de ports comme celui qu il y a sur Ixus ou par exemple :
https://grc.com/x/ne.dll?bh0bkyd2
bonne journée
Est-ce que le firewall d'un tel routeur est réellement moins fiable (au sens
de la sécurité) qu'un firewall constituée par une passerelle sous linux ?
Ils doivent etre a peu pres au meme niveau, enfin c'est le but de ces distributions comme IPCop ou freesco.
mais sous les passerelles, il y a des ptits plus comme l'IDS (detection d'intrusion)
franchement j ai fait des tests de scan de ports sur mon IPCop c'est aussi propre que du matériel.
Il est clair que les distributions de passerelle sous linux ont l'avantage d'être beaucoup plus
configurable que mon routeur, mais pour une utilisation très élémentaire
(je n'utilise aucun serveur mis à part le serveur DHCP du routeur), est-ce utile si on a
déjà un routeur/firewall ?
Ca depend de tes attentes, de ce que tu veux implémenter sur ton LAN, serveur Web ou non , etc....
Pour indication, j'ai testé à partir de l'exterieur du LAN, le firewall du routeur,
à l'aide de nmap. (nmap -A -T4 -P0 x.x.x.x)
Résultat : nmap n' a détecté aucun port ouvert ou fermé. Ce qui est semble t-il plutot positif, non?
A moins que ceci ne soit absolument pas un gage de sécurité ?
Essaies des sites de scan de ports comme celui qu il y a sur Ixus ou par exemple :
https://grc.com/x/ne.dll?bh0bkyd2
bonne journée
-
pulsergene - Amiral
- Messages: 1314
- Inscrit le: 14 Oct 2003 00:00
- Localisation: cambrousse city
par Neumann-BG » 02 Août 2004 00:13
Merci pour ta réponse,
je vais voir si je peux trouver quelques informations sur
l'IDS, pour voir si j'en ai besoin.
J'avais essayé les sites de scan de ports
et ils ont dit que les tous ports
étaient "stealth".
En fait, comme je n'ai jamais configuré réellement le routeur
(à part quelques trucs immédiats), j'était surpris
de voir ces résultats positifs.
Est ce qu'un port "stealth" est un port réellement protégé?
je vais voir si je peux trouver quelques informations sur
l'IDS, pour voir si j'en ai besoin.
J'avais essayé les sites de scan de ports
et ils ont dit que les tous ports
étaient "stealth".
En fait, comme je n'ai jamais configuré réellement le routeur
(à part quelques trucs immédiats), j'était surpris
de voir ces résultats positifs.
Est ce qu'un port "stealth" est un port réellement protégé?
- Neumann-BG
- Matelot
- Messages: 9
- Inscrit le: 11 Juil 2004 14:02
par micjack » 02 Août 2004 00:27
Normalement oui, en Stealth le FW intercepte l'attaque et recolte les infos et fait le mort, donc tu reste invisible..
De mon coté j'aime bien aussi --> http://www.speedguide.net
Section " SG Security Scan " vers la gauche en bas de la page...
Si tu maitrise bien Linux en ligne de commande et les regles iptables/netfilter, laisse tomber ton routeur sans hesiter
De mon coté j'aime bien aussi --> http://www.speedguide.net
Section " SG Security Scan " vers la gauche en bas de la page...
Si tu maitrise bien Linux en ligne de commande et les regles iptables/netfilter, laisse tomber ton routeur sans hesiter
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
par Neumann-BG » 03 Août 2004 01:18
Je vais installer MNF pour faire des tests et pouvoir comparer avec mon
routeur.
Il y a quelque chose qui m'intrigue, les sites de scan disent que
mon routeur fonctionne en stealth sur tous les ports,
cependant, après avoir installé un firewall applicatif personnel
sur une machine du LAN (Kerio Personal Firewall)
j'ai parfois des "incoming alert" me disant que quelqu'un du WAN
cherche à établir une connexion sur mon PC pour telle ou telle
application. (par exemple MSN)
Y 'a t-il une contradiction quelque part?
Le stealth correspond -il à un DROP en langage
Netfilter ?
Si oui, comment est ce que je peux recevoir des alertes
incoming ?
routeur.
Il y a quelque chose qui m'intrigue, les sites de scan disent que
mon routeur fonctionne en stealth sur tous les ports,
cependant, après avoir installé un firewall applicatif personnel
sur une machine du LAN (Kerio Personal Firewall)
j'ai parfois des "incoming alert" me disant que quelqu'un du WAN
cherche à établir une connexion sur mon PC pour telle ou telle
application. (par exemple MSN)
Y 'a t-il une contradiction quelque part?
Le stealth correspond -il à un DROP en langage
Netfilter ?
Si oui, comment est ce que je peux recevoir des alertes
incoming ?
- Neumann-BG
- Matelot
- Messages: 9
- Inscrit le: 11 Juil 2004 14:02
par Neumann-BG » 03 Août 2004 02:04
Avec le routeur, le service de scan du site speedguide.net
donne : tous les ports sont "filtrés" (59 sur 59)
Avec MNF en configuration par défaut, le résultat est
55 ports sur 59 sont filtrés, et 4 ports fermés
(135; 137; 138; 139) (c'est à dire Netbios et RPC)
Logiquement il faudrait mettre ces quatres ports en "filtré" et non plus en "fermé", non?
donne : tous les ports sont "filtrés" (59 sur 59)
Avec MNF en configuration par défaut, le résultat est
55 ports sur 59 sont filtrés, et 4 ports fermés
(135; 137; 138; 139) (c'est à dire Netbios et RPC)
Logiquement il faudrait mettre ces quatres ports en "filtré" et non plus en "fermé", non?
- Neumann-BG
- Matelot
- Messages: 9
- Inscrit le: 11 Juil 2004 14:02
par micjack » 03 Août 2004 02:21
En filtrés tu n'a rien à craindre, mais ce qui m'etonne c'est le nombres de ports reconnu sur 59 
T'a quoi comme services qui tournent ?
Je viens encore de lancer un scan avec une RH9 + regles Iptables et tout services inutils desactivés et il me repond aucun ports ouvert ...
Our Security Scan found NO open ports
T'a quoi comme services qui tournent ?
Je viens encore de lancer un scan avec une RH9 + regles Iptables et tout services inutils desactivés et il me repond aucun ports ouvert ...
Our Security Scan found NO open ports
- micjack
- Amiral
- Messages: 3113
- Inscrit le: 06 Juin 2003 00:00
- Localisation: Varois
par Neumann-BG » 04 Août 2004 04:16
Au niveau des services, voici ce qui tourne (obtenus dans résumé des services de l'interface de MNF)
iptables, network, portmap, syslog, shorewall, sshd, xidetd, dhcpd, http-naat, crond, partmon.
Si je fait un "netstat -taupe" voici ce que j'obtient :
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat Utilisatr Inode PID/Program name
tcp 0 0 *:sunrpc *:* LISTEN root 1060 757/portmap
tcp 0 0 *:ssh *:* LISTEN root 2544 2511/sshd
tcp 0 0 *:8443 *:* LISTEN root 2817 2813/httpd-naat
tcp 0 0 localhost.localdom:8444 *:* LISTEN root 2818 2813/httpd-naat
tcp 0 20 localhost.localdoma:ssh 192.168.1.27:2050 ESTABLISHED root 59255 752/sshd
udp 0 0 *:bootps *:* root 2583 2550/dhcpd
udp 0 0 *:bootpc *:* root 952 668/dhcpcd
udp 0 0 *:sunrpc *:* root 1057 757/portmap
Je ne maitrise pas assez pour comprendre dans le détail tout cela...
Ce que je vois c'est portmap qui ecoute à travers le port "sunrpc". Je me dis que ça doit avoir un lien avec le fait que le port 135 est fermé mais non filtré. A vrai dire j'en sais rien...
Un truc bizarre aussi, les sites de scan ne disent pas la même chose. Pour :
-speedguide : tout est stealth sauf 135, 137, 138, 139 (qui sont fermés)
-seagate : tout est stealth (il dit que 139 est stealth, mais 135 n'est pas analysé)
-shields up : tout est stealth sauf 135 (RPC). (en particulier, 139 apparait stealth)
Qui dit la vérité
Une première déduction pourrait être : 135 est fermé, 139 est stealth. Mais les autres?
vaut-il mieux filtrer ou fermer 135 ?
135 a-t-il un lien avec portmap?
NBG
iptables, network, portmap, syslog, shorewall, sshd, xidetd, dhcpd, http-naat, crond, partmon.
Si je fait un "netstat -taupe" voici ce que j'obtient :
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat Utilisatr Inode PID/Program name
tcp 0 0 *:sunrpc *:* LISTEN root 1060 757/portmap
tcp 0 0 *:ssh *:* LISTEN root 2544 2511/sshd
tcp 0 0 *:8443 *:* LISTEN root 2817 2813/httpd-naat
tcp 0 0 localhost.localdom:8444 *:* LISTEN root 2818 2813/httpd-naat
tcp 0 20 localhost.localdoma:ssh 192.168.1.27:2050 ESTABLISHED root 59255 752/sshd
udp 0 0 *:bootps *:* root 2583 2550/dhcpd
udp 0 0 *:bootpc *:* root 952 668/dhcpcd
udp 0 0 *:sunrpc *:* root 1057 757/portmap
Je ne maitrise pas assez pour comprendre dans le détail tout cela...
Ce que je vois c'est portmap qui ecoute à travers le port "sunrpc". Je me dis que ça doit avoir un lien avec le fait que le port 135 est fermé mais non filtré. A vrai dire j'en sais rien...
Un truc bizarre aussi, les sites de scan ne disent pas la même chose. Pour :
-speedguide : tout est stealth sauf 135, 137, 138, 139 (qui sont fermés)
-seagate : tout est stealth (il dit que 139 est stealth, mais 135 n'est pas analysé)
-shields up : tout est stealth sauf 135 (RPC). (en particulier, 139 apparait stealth)
Qui dit la vérité
Une première déduction pourrait être : 135 est fermé, 139 est stealth. Mais les autres?
vaut-il mieux filtrer ou fermer 135 ?
135 a-t-il un lien avec portmap?
NBG
- Neumann-BG
- Matelot
- Messages: 9
- Inscrit le: 11 Juil 2004 14:02
9 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité